如何在一台路由器上实现双向NAT

在一些特殊网络环境里,出于对网络安全或IP地址使用的角度考虑,往往会使用NAT技术进行IP地址转换。如果两个不同单位进行联网,彼此需要隐藏自己内部的IP地址,也不希望直接和对方的IP进行通讯(避免将对方IP网段的路由加到自己网内,保持网内路由的干净),这时就需要配置双向NAT来进行两个方向的地址转换功能。

示例说明

  • 01

    示例: 实现目标:单位A的网内用户(192.168.1.0网段)需要访问单位B的服务器(10.1.1.1),并实现双向NAT。 联网要求:单位A的内网结构和IP地址需要对外隐藏(单位B不能看到单位A的网内IP地址,只能看到NAT转换后的1.1.1.2地址),同时单位A的内网设备不需要添加单位B的IP网段的路由,只需要访问转换到内网的192.168.1.2这个地址,确保网内的路由干净。

  • 02

    网络拓扑:

  • 03

    IP地址说明: 单位A内网IP:192.168.1.0/24 单位A的路由器R1地址:局域口IP为192.168.1.1,广域口IP为1.1.1.1 单位B服务器IP:10.1.1.1 单位B的路由器R2地址:局域口IP为10.1.1.254,广域口IP为1.1.1.14 R1路由器上内部映射到外部的地址为1.1.1.2,外部映射到内部的地址为192.168.1.2

操作方法

  • 01

    步骤1:在R1路由器上将内网192.168.1.0网段NAT映射成1.1.1.2后访问服务器,这样单位B的设备收到的数据包的IP地址都是1.1.1.2,从而隐藏了单位A内网的真实地址。 nat address-group 1 1.1.1.2 1.1.1.2 acl number 2000 rule 0 permit source 192.168.1.0 0.255.255.255 rule 1 deny interface Ethernet0/0/1 ip address 1.1.1.1 255.255.255.255.255.255.240 nat outbound 2000 address-group 1

  • 02

    步骤2:在R1上把对方服务器10.1.1.1NAT翻译成内部地址192.168.1.2,供内部地址访问,这样单位A的内部用户访问192.168.1.2就等于访问对方的10.1.1.1的服务器 interface Ethernet0/0/0 ip address 192.168.1.1 255.255.255.0 nat server protocol tcp global 192.168.1.2 any inside 10.1.1.1 any nat server protocol icmp global 192.168.1.2 inside 10.1.1.1

  • 03

    步骤3:配置路由 在路由器R1上添加至对方服务器的路由 ip route 10.1.1.1 255.255.255.255 1.1.1.14

    验证

    • 01

      在路由器R1上打开debug调试功能,从单位A的内网ping映射后的服务器地址192.168.1.2,观察debug信息 *0.1018668881 Quidway NAT/8/debug: (Ethernet0/0/0-in  :)Pro : ICMP (     192.168.1.10:  758 -   192.168.1.2:  758) ------> (     192.168.1.10:  758 -   10.1.1.1:  758) *0.1018668881 Quidway NAT/8/debug: (Ethernet0/0/1-out :)Pro : ICMP ID : 38234 (     192.168.1.10:  758 -   10.1.1.1:  758) ------> (     1.1.1.2:12290 -        10.1.1.1:  758) *0.1018668881 Quidway NAT/8/debug: (Ethernet0/0/1-in  :)Pro : ICMP ID : 38234 (      10.1.1.1:  758 -      1.1.1.2:12290) ------> (      10.1.1.1:  758 -      192.168.1.10:  758) *0.1018668881 Quidway NAT/8/debug: (Ethernet0/0/0-out :)Pro : ICMP ID : 38234 (      10.1.1.1:  758 -      192.168.1.10:  758) ------> (     192.168.1.2:  758 -    192.168.1.10:  758) 从debug调试信息可以看出,E0/0/0接口收到一个192.168.1.10访问192.168.1.2的请求被转换成访问10.1.1.1的请求;接下来在E0/0/1接口输出时将192.168.1.10访问10.1.1.1的请求转换成1.1.1.2访问10.1.1.1的请求,这时数据包被两次翻译后发送给服务器。服务器响应的数据包返回到R1路由器,这时E0/0/1接口收到一个10.1.1.1到1.1.1.2的请求,并转换成10.1.1.1到192.168.1.10的请求,然后在内网口E0/0/0上将10.1.1.1到192.168.1.10的请求转换成192.168.1.2到192.168.1.10的请求。 至此,一个完整的数据包来回传输的交互过程实现。

    (0)

    相关推荐

    • 如何设置两台路由器 两台路由器的连接和设置方法介绍

      当一台路由器在所提供的接口数量上无法满足局域网内所有计算机在数量的要求时,通常的做法是增加一个路由器,实现网络的扩展。对此,必须合理的使用组网技术。下面小编就与大家共同讨论一下两台路由器的连接和设置方 ...

    • cisco路由器上配置TCP拦截

       大家先回顾一下我之前发的“ACL中的established选项”中关于TCP的内容。 之前说过,TCP建立连接的三次握手过程中,一方向另一方发送的第一个报文设置了SYN位,当某台设备接收到一个请求服 ...

    • 在CISCO路由器上配置NAT功能

      随着internet的网络迅速发展,IP地址短缺已成为一个十分突出的问题。为了解决这个问题,出现了多种解决方案。下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。 一、NAT简介 N ...

    • 多台路由器组网设置方法

      本文主要以有线路由器TL-R460+和无线路由器TL-WR541G+为例为详细教大家多台路由器组网设置教程。 一、网络拓扑分析 1、假设您有一条ADSL宽带线,经过TL-R460+宽带路由器实现了两台 ...

    • 多台路由器组网设置图文教程

      本文主要以有线路由器TL-R460+和无线路由器TL-WR541G+为例为详细教大家多台路由器组网设置教程。 一、网络拓扑分析 1、假设您有一条ADSL宽带线,经过TL-R460+宽带路由器实现了两台 ...

    • 如何设置两台路由器

      首先心中要有一个总体的构架,这样在组网和设计、配置的时候才不会凌乱。通常需要考虑一下每台路由器都是与哪些电脑相连,由于连接不同路由器的IP地址分配方式是不一样的,不过对于DHCP方式所分配的IP则无需 ...

    • 多台路由器组网连接上网设置图文教程

      本文主要以有线路由器TL-R460+和无线路由器TL-WR541G+为例为详细教大家多台路由器组网设置教程。 一、网络拓扑分析 1、假设您有一条ADSL宽带线,经过TL-R460+宽带路由器实现了两台 ...

    • 怎么限制一个路由器上另一根网线的网速

      方法一: 使用路由器的限速功能可以实现. 路由器限速是通过限制限制IP地址段来实现的. 1.把需要限速的那根网线的终端设置成静态IP: 2.在路由器上限制一个IP段的上行和下载速度,把这个静态IP包含 ...

    • 如何设置两台路由器连接上网

      当一台路由器在所提供的接口数量上无法满足局域网内所有计算机在数量的要求时,通常的做法是增加一个路由器,实现网络的扩展.对此,必须合理的使用组网技术.下面小编就与大家共同讨论一下两台路由器的连接和设置方 ...